网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


XX市电子政务骨干网络等保2.0三级方案

2021-09-22 13:25 推荐: 浏览: 402 字号:

摘要: 方案建设背景 XX市电子政务外网骨干网络是XX市政务机关利用互联网通过统一门户对外统一发布信息和向社会提供信息服务、业务办理和管理监督等政务活动的公共信息网络。政务外网承载各级政务部门业务协同、社会管理、公共服务、应急联动等面向社会服务的业务应用系统。 ...

方案建设背景

XX市电子政务外网骨干网络是XX市政务机关利用互联网通过统一门户对外统一发布信息和向社会提供信息服务、业务办理和管理监督等政务活动的公共信息网络。政务外网承载各级政务部门业务协同、社会管理、公共服务、应急联动等面向社会服务的业务应用系统。

随着等保2.0的发布,对XX市电子政务外网骨干的网络安全提出了新的要求。为进一步提升自身的安全防护能力,按照统筹资源,重点保护,适度安全的原则,结合各安全域实际情况,进行安全防护等级保护建设方案设计。

现状分析

1、XX市电子政务外网骨干网络建设现状

XX市电子政务外网骨干网络前期已开展过网络安全建设,但已建成时间距今周期较长,大部分设备已投用7至8年以上,设备已脱保且性能无法满足目前电子政务业务快速增长的需要。

2、 电子政务外网安全设备现状

目前骨干网络区域部署了防火墙,主要用作网络边界的访问控制,以及内部服务器的端口映射。防火墙在管理上采取用户名+口令的认证方式;配置了上网行为管理系统;部署了入侵检测设备等。但目前设备因投用时间长均已脱保,设备功能及性能均已无法满足电子政务外网业务快速发展的需求。

3、电子政务外网数据安全现状

目前未采用统一集中数据备份模式,当前业务数据备份在存储中,没有建设异地灾备中心。

风险分析

1、Web安全面临的威胁

RSA大会研究显示,Web应用安全已超过所有以前网络层安全(如:DDoS),逐渐成为最严重、最广泛、危害性最大的安全问题。WEB安全的威胁主要来自XSS跨站攻击、SQL 注入、网络钓鱼、恶意代码、RootKit隐身技术等。

2、 数据库安全风险

随着用户加强数据库安全建设,越来越多的数据库安全漏洞也会被数据库安全研究者所发现,漏洞一旦公开,数据库厂商并不能在第一时间对漏洞进行修复并发布升级补丁,即使厂商发布了对应的漏洞升级补丁用户并不敢第一时间对数据库进行升级,直接导致数据库风险性增大。

3、 终端用户风险

由于计算机用户数量庞大,对计算机相关的知识水平参差不齐,一旦某些安全意识薄弱的用户误操作,也将给信息系统带来破坏。例如某些用户在恶意网站上下载或是错误使用了某些存储介质,从而导致计算机感染了病毒或木马程序,很可能会给整个内部网络带来灾难性的破坏。

4、不同的区域边界的安全风险

安全计算环境划分为XX市电子政务外网内网业务区域、XX市电子政务外网运维管理区域、办公区域等区域。该政务外网政府部门业务系统,划分互联网区域电子政务外网区域,两个区域之间进行逻辑隔离,倘若没有有效隔离措施,会造成两张重要网的信息侵入。

5、云平台自身安全建设不完善

数据存储层:缺乏数据监控审计、数据库运维审计;

管理和服务层:缺乏大数据的态势感知通报预警平台,实时监控云平台安全态势;

业务应用层:缺乏Web漏洞扫描系统、数据库漏洞扫描系统、系统漏洞扫描系统、基线核查等,针对云计算平台自身基于B/S架构的应用系统进行安全风险的定时发现;缺乏网页防篡改,针对云计算平台自身基于B/S架构的互联网接口应用系统进行防护。

云安全访问控制层:缺乏传统网络防火墙、病毒过滤、VPN等功能的下一代防火墙(NGFW),作为云计算中心与外部网络的第一层边界隔离手段;缺乏流量清洗设备与DNS/全局负载均衡。

项目建设方案

在XX市电子政务外网的网络边界部署链路负载均衡设备,实现对电信和移动链路的负载,安全边界通过冗余部署下一代防火墙(含VPN模块)、入侵防御、上网行为管理等设备进行安全防护和管控。

本次等保三级整改按照等保2.0标准新建安全运维中心,安全运维中心中主要部署了天池安全管理平台、网络安全态势感知平台以及数据一体化备份平台。天池等保一体机平台由一台物理设备搭建(可按需横向扩展),按需激活漏洞扫描、WEB防火墙、虚拟防火墙、堡垒机、日志综合审计、数据库审计、网页防篡改、主机安全管理等多项安全防护技术,实现电子政务外网内部横向的安全防护和管控。通过大数据智能分析平台,针对全网数据进行安全分析,及时发现安全风险,同时为顶层安全决策提供直观的可视化视图及有效的数据支撑。通过建设数据一体化备份平台实现业务数据的统一集中备份,满足等级保护的相关要求。

总体建设拓扑图

方案竞争优势分析

满足等级保护技术规范要求

本次项目建设方案既可以满足等级保护的相关要求,又能够全方面为XX市电子政务外网信息系统提供立体、纵深的安全保障防御体系,保证信息系统整体的安全保护能力。

构建三位一体全方位数据防护

从数据库服务器的底层系统、网络、数据库三个层面分别进行三位一体的立体防护。从根本上保证数据库服务器的底层操作系统免受攻击、网络层面实现有效的网络防护、数据库层面实现合规访问控制和攻击防护,彻底解决数据库的安全防护难题。

AI技术:安全威胁分析发现

利用AI技术实现用户行为分析(UEBA),通过机器学习算法快速训练客户现场安全场景,对异常行为进行定位跟踪,风险阈值实现智能动态调整,实现智能安全判定,对残余风险、隐蔽威胁、未知攻击和0day攻击等未知风险进行检测。

提升体系化纵深联动防御

通过大数据分析技术发现潜在的入侵和高隐蔽性攻击,预测即将发生的安全事件并与安全防护设备形成联动能力,自动安全调整访问控制策略下发至防御设备,第一时间阻断(通过联动防御设备进行安全阻断,如WAF、IPS、防火墙等)攻击者的连接,形成安全闭环,提升阿拉尔市电子政务外网信息安全风险管理和应对能力。

实现网络安全数据可视化

以综合角度出发,汇集重要信息系统的资产、威胁风险、网络攻击、安全事件、预警处置总体分布情况,通过柱形图、饼图、趋势曲线图以及不断变化的趋势数值进行综合展现。从多个维度,提供大数据分析结果,为研判、决策及重要时期的网络安全保障工作提供有效支撑。

保障云上业务网络安全

通过对云平台边界安全建设和云内安全建设,打造网络、主机、应用、数据多层安全保障的云基础环境,并从外部攻击防御到内部安全管控两方面提升云安全水平,提供各项云内环境安全防护手段,不同信息系统可灵活选择与搭配,最终建设形成自有的云内信息系统安全防护策略。

稿源:杭州安恒信息技术股份有限公司

联系站长租广告位!

中国首席信息安全官